Log4j漏洞是个什么事情? Java开源工具log4j2在去年12月,突然暴露了远程代码执行漏洞事件(恶意人士可以利用漏洞在受影响的系统上安装恶意软件)。Log4j2是一个应用于Java的开源日志组件工具,被很多包括谷歌、微软、亚马逊等等世界大厂、知名组织和企业广泛用于业务系统。 Log4j2 由非营利组织 Apache 软件基金会的志愿者维护。 因此,需要进一步明确DAO、安全专家、诸如Alchemy和Infura等Web3基础设施提供商,和其他相关部门,到底如何合作,从而处理突发的安全问题。不过,可以参考大型开源社区组建OpenSSF和CNCF咨询小组,建立处理安全问题流程的经验。 认证和签名(Authentication and signing) 目前市面上的多数dApps,很多都没有认证或对API respones的签名。这意味着,当用户的钱包从这些DApp中检索数据时,在验证这种respones是否来自预期的(真的而不是伪造的)应用程序,以及数据是被篡改方面存在着风险。 在一个Dapp没有采用基本安全常规的最优途径的世界里,只能由用户自己,来确认它们的安全状况和可信度,这非常的难,确实需要有更好的方法来向用户提示风险。 更佳的密钥管理体验(Easier, user-controlled KEY management) 密钥管理,是用户在Web3范式中进行交易的基础。密钥也是出了名的难以管理,很多加密业务已经并将继续围绕着密钥管理而进行。 管理私钥的复杂性和风险,也是促使用户选择托管钱包而不是非托管钱包的主要原因之一。不过,使用托管钱包会导致新的现象:导致新的 “中介化产物”产生,如coinbase,这样就会不利于Web3的完全去中心化的方向和理想;从一定程度也会限制了用户利用Web3所提供的所有优势的能力。理想情况下,进一步的安全创新将可以为用户提供更好的可用性保护非托管场景用户体验。 值得注意的是,前两项(真实来源的漏洞数据和规范的安全决策)举措更多的是围绕着人和流程,而第三和第四项举措则需要新的技术变革。让新技术、全新的流程和大量的用户保持同步,是Web3安全的难点之一。 不过,有一点还是很鼓舞大家的:Web3安全创新是在公开、开源的环境下进行的,创造性的解决方案会在这样的场景产生。 (责任编辑:admin) |